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Gegevensrelatie SVB - WMO-cliënt 
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Risico's 

Opmerkingen bij huidige gang van zaken 
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I 


Basisinformatie: type persoonsgegevens, type verwerking en noodzaak/ gegevensminimalisering 
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1 

Wilt u als verantwoordelijke 
persoonsgegevens gaan 

gebruiken voor de 
verwerking die u voorziet? 

Zo ja, van welk type? 

De SVB (het SVB Servicecentrum PGB (SSP)) wil als 
verantwoordelijke de regeling voor PGB 
trekkingsrechten gaan uitvoeren op grond van de 
WMO 2015. In de relatie met de gemeente is het 
pgb het bedrag waaruit namens het college 
betalingen worden gedaan voor diensten, 
hulpmiddelen, woningaanpassingen en andere 
maatregelen die tot een maatwerkvoorziening 
behoren, en die een cliënt van derden heeft 
betrokken (artikel 1.1.1 WMO 2015 ). De SVB gaat 
daarvoor persoonsgegevens van de cliënt (persoon 
aan wie het pgb is verstrekt) verwerken. Deze 
persoonsgegevens inclusief het BSN krijgt SSP van 
de Stichting Inlichtingen Bureau namens de 
gemeente waar de cliënt woont. 

Artikel 4.1.4 lid 2 wijst de SVB als 
verantwoordelijke aan voor de verwerking van 
persoonsgegevens (waaronder persoonsgegevens 
betreffende de gezondheid) die noodzakelijk zijn 
voor het verrichten van betalingen en het 
budgetbeheer. Artikel 2.6.2. lid 2 bepaalt dat bij of 
krachtens algemene maatregel van bestuur regels 
kunnen 

worden gesteld over de wijze waarop de Sociale 
verzekeringsbank die taak uitvoert. 

De zorginhoudelijke gegevens die aan het PGB ten 
grondslag liggen behoren niet aan de SVB te 
worden verstrekt. De vraag is of het aan de SVB 
gegeven inzicht in de aanwendingsrichting van het 
budget niet het risico oplevert dat SVB toch 
bijzondere persoonsgegevens met een 
zorginhoudelijk karakter verwerkt. Alles wat bij de 
verwerking door de SVB verder gaat dan de 
uitvoering van het louter financiële budgetplan dat 
bij het pgb behoort, is bovenmatig/niet toegestaan 
in de zin van de Wbp gezien ook de beperking die 
is opgenomen in art. 2.6.2 WMO 2015. 

De gemeente stelt bij verordening de regels vast op 
welke wijze de hoogte van een pgb wordt vastgesteld 
(art. 2.1.3, tweede lid, onderdeel b WMO 2015). In de 
verordening worden ook regels gesteld voor de 
bestrijding van het ten onrechte ontvangen van een 
persoonsgebonden budget, alsmede van misbruik of 
oneigenlijk gebruik van de WMO 2015. Artikel 2.3.6 
WMO 2015 geeft aan onder welke voorwaarden en 
procedures een pgb wordt toegekend. Artikel 2.3.10 
WMO 2015 geeft aan wanneer de toekenning kan 
worden ingetrokken. In artikel 2.6.2 WMO 2015 is 
bepaald dat de SVB namens de colleges van de 
gemeenten de betalingen ten laste van verstrekte 
persoonsgebonden budgetten, alsmede het hiermee 
verbonden budgetbeheer (het 
trekkingsrechtensysteem), uitvoert (bij of krachtens 
algemene maatregel van bestuur kunnen voorts regels 
worden gesteld over de wijze waarop de Sociale 
Verzekeringsbank deze taak uitvoert). Het gaat daarbij 
in beginsel alleen om het verwerken van financiële 
gegevens die de Stichting Inlichtingen Bureau namens 
de gemeente verstrekt met een uitsplitsing naar 
zorgprofiel. 
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2 

Andere specifieke 
persoonsgegevens? 





VERTROUWELIJK 
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2a 

Is het de bedoeling om 
gegevens over de financiële 
of economische situatie van 
betrokkenen, of andere 
gegevens die kunnen leiden 
tot stigmatisering of 
uitsluiting te verwerken? 

De gemeente kan bij verordening bepalen dat een 
cliënt een bijdrage in de kosten verschuldigd is 
voor een persoonsgebonden budget die afhankelijk 
kan zijn het inkomen en vermogen van de cliënt en 
zijn echtgenoot (artt. 2.1.3, vierde lid, en 2.1.4, 
eerste en tweede lid WMO 2015). Dit betreft een 
gevoelig gegeven bij de cliëntondersteuning in het 
kader van de aanvraag van het pgb. De bijdrage 
voor een persoonsgebonden budget wordt 
overigens vastgesteld en voor de gemeente geïnd 
door het CAK (art. 2.1.4, zesde lid WMO 2015) 

Het risico is hier dat wordt afgeweken van de 
integrale aanpak omdat het pgb bruto wordt 
vrijgegeven en achteraf aanleiding is voor inning 
van een bijdrage door het CAK. 

Het gebruik van twee uitvoerders vergt extra aandacht 
van de gemeente uit een oogpunt van 
cliëntondersteuning. 
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2b 

Is het de bedoeling om 
gegevens over kwetsbare 
groepen of personen te 
verwerken? 

De toelichting hier op in het PIA model Rijksdienst 
luidt: hieronder vallen bijvoorbeeld minderjarigen, 
verstandelijk gehandicapten, mensen die te maken 
hebben met stalking, klokkenluiders of 
informanten voor politie of het OM. Dit is geen 
limitatieve opsomming, dus gezien het feit dat het 
bij de pgb gaat om groepen personen, die zorg en/ 
of begeleiding behoeven, kan gesteld worden dat 
dit een kwetsbare groep personen is. 

Het risico bestaat dat er gegevens worden 
verwerkt, waarin de kwetsbaarheid van de cliënt 
ruimere bekendheid krijgt dan nodig is. 

Dit aspect pleit ervoor de gegevensuitwisseling in de 
verhouding SVB - cliënt zo sober mogelijk te houden. 
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2c 

Is het de bedoeling 
gebruikersnamen, 

wachtwoorden en andere 
inloggegevens te 

verwerken? 

De WMO 2015 laat ruimte voor de SVB om de 
budgethouder toe te laten tot een MijnPgb. 

Door onzorgvuldig beheer van gebruikersnamen, 
wachtwoorden en andere inloggegevens bestaat 
het risico dat ongeautoriseerde toegang tot 
persoonsgegevens wordt verkregen. 

Het risico kan hier worden beperkt door de informatie 
over de rekening courant positie schriftelijk uit te 
wisselen of via de mail. 
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2d 

Is het de bedoeling om 
uniek identificerende 
gegevens, zoals 
biometrische gegevens, te 

verwerken? 

Nee, dit is niet de bedoeling. 




VERTROUWELIJK 
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2e 

Is het de bedoeling om het 
BSN-nummer, of een ander 
persoonsgebonden 

nummer te 

verwerken? 

Artikel 4.2.10 WMO 2015 

1. Het college, een aanbieder en een derde aan wie 
ten laste van een persoonsgebonden budget 
betalingen worden gedaan, het CAK, een andere 
instantie als bedoeld in artikel 2.1.4, zevende lid, 
de Sociale verzekeringsbank, de toezichthoudende 
ambtenaren, het AMHK, en een zorgverzekeraar of 
een zorgaanbieder als bedoeld in de 
Zorgverzekeringswet gebruiken het 
burgerservicenummer van een persoon bij het 
verstrekken van persoonsgegevens als bedoeld in 
de artikelen 4.2.1 tot en met 4.2.5 met het doel te 
waarborgen dat de in het kader van de uitvoering 
van deze wet te verwerken persoonsgegevens op 
die persoon betrekking hebben. 

enz. 

Het wetsvoorstel regelt dat ook aanbieders de 
beschikking krijgen over het BSN van de 
betrokkene. De beschikbaarheid van het bsn stelt 
organisaties in staat betrokkenen uniek te 
identificeren en om gegevens uit verschillende 
databanken te koppelen. Het risico bestaat dat in 
de praktijk het gebruik van het BSN buiten 
wettelijke kaders gaat plaatsvinden. 

De SVB kan op grond van de artikelen 4.2.10 en 4.2.11 
onverkort gebruik maken van het BSN. Een 
aandachtspunt is dat deze bevoegdheid pas met ingang 
van 2015 gaat gelden. De verwerking van het bsn door 
de SVB berust zolang op de algemene bevoegdheid van 
de SVB op grond van de Wabb. 


VERTROUWELIJK 
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3 

Kan van elk van de onder 
vraag 1.1 en vraag 1.2 
opgevoerde typen 
persoonsgegevens worden 
gesteld dat zij beleidsmatig 
of technisch direct van 
belang en onontbeerlijk zijn 
voor het bereiken van de 

beleidsdoelstelling? 

Wat zou er precies niet 
inzichtelijk worden als 
ervoor wordt gekozen 
bepaalde gegevens niet te 
verwerken? (Licht per te 
verwerken 

persoonsgegeven toe.) 

Bij de taken als trekkingsrechtuitvoerder zal de SVB 
de gegevens moeten krijgen die nodig zijn om de 
persoon te kunnen identificeren, de hoogte van 
zijn persoonsgebonden budget, de 
aanwendingsrichting van het budget, de partij die 
het budget heeft toegekend, de contracten die de 
cliënt sluit met de hulpverleners en de rekeningen 
van de hulpverleners. Tot de uitvoerende taken 
van de SVB behoren naast het verrichten van de 
betalingen voor persoonsgebonden budgetten ook 
het registreren, adviseren, afdragen van belasting, 
administreren, toetsen op de door het college 
gestelde voorwaarden, controle op wet- en 
regelgeving en het faciliteren van verplicht 
werkgeverschap. Dit brengt met zich dat 
gemeenten de SVB informatie zullen moeten 
verstrekken omtrent de verstrekte 
persoonsgebonden budgetten en dat de SVB aan 
de gemeente rekenschap zal moeten afleggen over 
de uitvoering.! par. 3.7 mvt en toe. op art.2.6.2 
WMO 2015). 

Het risico bestaat dat meer gegevens worden 
verwerkt dan nodig is voor het doel. De taken voor 
de SVB zijn in de artikelsgewijze toelichting voorts 
ruimer beschreven dan mag worden verwacht op 
basis van de wettekst. 

Het eerst benoemde uitgangspunt van de landelijke 
werkgroep trekkingsrecht bij het opstellen van "De 
informatievoorziening bij trekkingsrechten is : Minimale 
uitwisseling van gegevens. Verder lijken gemeentelijke 
taken aan de SVB te worden overgedragen. Ook het 
faciliteren van verplicht werkgeverschap is een taak die 
die niet voortvloeit uit de wettelijke regeling. Het valt 
overigens op dat de SVB ruime mogelijkheden krijgt om 
persoonsgegevens aan het college te verstrekken (art. 
4.2.4, tweede lid, WMO 2015 maar dat centrale 
gegevensverstrekking door het SVB niet wordt 
gevraagd. Zie ook onze opmerking bij dit punt met 
betrekking tot artikel 9.2.1 WLZ over algemene 
beleidsinformatie omdat de integrale benadering van 
het pgb juist samenkomt bij de SVB. 


VERTROUWELIJK 
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4 

Kan als het gaat om 
gevoelige 

persoonsgegevens 

hetzelfde beleidseffect of 

technisch resultaat worden 
bereikt op een van de 
volgende wijzen: (a) door 
(gecombineerd) gebruik van 
normale persoonsgegevens, 
(b) door gebruik van 
geanonimiseerde of 
gepseudonimiseerde 
gegevens? 

Ja, in de gegevensuitwisseling met de 
budgethouder moet worden afgezien van het 
uitwisselen van medische gegevens. Met het oog 
op de integrale benadering van het pgb dat uit 
verschillende componenten kan bestaan (WLZ, 
WMO 2015, Jeugdwet en Zorgverzekeringswet) is 
gebruik van het BSN aangewezen. 


Voor de onderhavige gegevensuitwisseling kan een 
zorginhoudelijk deel worden gemist. Zie voorts de 
beperking in art. 2.6.2 WMO 2015. Zie wat betreft 
gepseudonimiseerde gegevens de toelichting op bijv. 
artikel 4.4.1, tweede lid, WMO 2015. 
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5 

In welk breder wettelijk, 
beleidsmatig of technisch 
kader wordt het voorziene 

beleid/databestand/inform 
atiesysteem ontwikkeld en 
wat voor soort(en) 
verwerking(en) van 
persoonsgegevens gaan 
hiervan deel uitmaken bij 
het voorziene traject? 

Wordt hierbij gebruikt 
gemaakt van (nieuwe) 
technologie of 
informatiesystemen? 

De WMO 2015 maakt onderdeel uit van de 

hervorming van de zorg en voorziet met name in 
decentralisatie van de verantwoordelijkheid voor 
langdurige ondersteuning naar gemeenten. 

De SVB past wat betreft het nieuwe pgb- 
trekkingsrechtensysteem ook in relatie met 
gemeenten beproefde state of the art technologie 
en informatiesystemen toe. 

Het beleidsmatig kader kan te omvangrijk zijn. Drie 
decentralisaties, meerdere wetten, meerdere 
visies en zeer veel ketenpartijen maken het lastig 
om grip te krijgen op de informatiehuishouding. 

Het begrip «zorgbreed informatiestelsel» is nieuw in de 
zorg. Het drukt echter precies uit waar het in de 
meerjarenaanpak om draait: het als een samenhangend 
geheel ontwikkelen, inrichten, beheren en onderhouden 
van kaders waaraan getoetst kan worden of afspraken, 
convenanten, standaarden, registers, knooppunten en 
gegevenswoordenboeken (nog) 
voldoen aan de eisen die gesteld worden om de 
publieke belangen rondom zorgbrede 
informatiestromen te borgen. 

(Kamerbrief 32 620 nr 93) 
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II 


Doelbinding, koppeling, kwaliteit en profilering 


VERTROUWELIJK 
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1 

Hebt u het/de specifieke 
doel(en) waarvoor u de 
persoonsgegevens gaat 

verwerken in detail 
vastgesteld? Geldt hiervoor 
één en hetzelfde specifieke 
doel? 

Het doel van de invoering van pgb- 
trekkingsrechten en de bijbehorende 
gegevensuitwisseling is een robuuste opzet van het 
wettelijke recht op pgb vorm te geven door 1) de 
samenhang in het pgb te bevorderen door 
uniformering, 2) de administratieve last voor de 
budgethouder te verminderen en 3) fouten, fraude 
en oneigenlijk gebruik tegen te gaan. 

Als persoonsgegevens niet voor welbepaalde, 
uitdrukkelijk omschreven en gerechtvaardigde 
doeleinden worden verzameld is de verwerking 
onrechtmatig. 

De wijze waarop fraude en oneigenlijk gebruik wordt 
bestreden, is nog niet in detail vastgesteld omdat door 
de gemeenten nog verordeningen moeten worden 
vastgesteld waarin de aanpak wordt vastgelegd. Er zijn 
bovendien nog veel relevante AMvB's onderweg met de 
WMO 2015 als basis. Tenslotte is niet duidelijk wat de 
gemeente en wat de SVB in deze aanpak gaan doen. 
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2 

Gaat het bij het 
project/systeem om 
gebruik van nieuwe 
persoonsgegevens voor een 

bestaand doel, of 
bestaande doelen binnen al 

bestaande systemen? 
(scenario toevoeging 
nieuwe persoonsgegevens). 

Zowel de doelen als de systemen en het kader 
worden uitgebreid. 




VERTROUWELIJK 
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3 

Gaat het bij het 
project/systeem om het 

nastreven van 

nieuwe/aanvullende 

doeleinden door bestaande 
persoonsgegevens, of 
verzamelingen daarvan, te 
gebruiken, vergelijken, 
delen, koppelen of 
anderszins verder te 

verwerken? (scenario 
toevoeging doeleinden). 

Zo ja, hebben alle 
personen/instanties/system 
en die betrokken zijn bij de 
verwerking dezelfde 
doelstelling met de 
verwerking van de 
desbetreffende 
persoonsgegevens of is 
daarmee spanning mogelijk 
gelet op hun taak of hun 
belang? 

Gelden dezelfde doelen 
voor het hele proces? 

Zie 1 hiervoor. 


Bij deze verwerking is alleen de SVB betrokken. 


VERTROUWELIJK 










Bijlage 2.3 bij eindrapportage PIA pgb trekkingsrechten WLZ, Jeugdwet, Wmo 2015, d.d. 28 mei 2014, Duthler Associates 



A 

B 

C 

D 

E 

F 

18 


4 

Indien u positief hebt 
geantwoord op vragen 11.2 
of 11.3, hoe wordt een 
dergelijk voorgenomen 
gebruik (d.w.z. gebruik van 
nieuwe persoonsgegevens 
in bestaande systemen of 
van bestaande 

persoonsgegevens voor 
nieuwe doeleinden) gemeld 
aan: (a) de functionaris 
voor de 

gegevensbescherming, of 
(b) het CBP indien er geen 

FG is? 

a. De SVB (en dus ook het servicecentrum voor het 
pgb) beschikt (nog) niet over een FG. b.bij het CBP 
zijn geen meldingen gedaan inzake verwerkingen 
van persoonsgegevens van budgethouders. 

Een niet gemelde verwerking is in principe 
onrechtmatig. 

Ons advies is om bij het CBP zo snel mogelijk melding te 
maken van de huidige verwerking van de pgb-gegevens 
en ook zo snel mogelijk te zorgen voor de aanstelling 
van een FG. 
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5 

Indien u positief 
geantwoord hebt op vragen 
11.2 of 11.3, welke (nadere) 
controles op een dergelijk 
gebruik (d.w.z. gebruik van 
nieuwe persoonsgegevens 
in bestaande systemen of 
van bestaande 

persoonsgegevens voor 
nieuwe doeleinden) zijn 
voorzien? 

In het wetsvoorstel is toezicht door het college 
voorzien. 

Het risico bestaat dat onvoldoende maatregelen 
worden genomen die een rechtmatige, behoorlijke 
en zorgvuldige verwerking van persoonsgegevens 
borgen en een onnodige verzameling van 
persoonsgegevens voorkomen. 

Op dit moment moet nog veel geregeld voor de 
beoogde situatie in 2015. 


VERTROUWELIJK 
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6 

Welke periodieke en 
incidentele controles zijn 
voorzien om de juistheid, 
nauwkeurigheid en 
actualiteit van de in het 
beleidsvoorstel, 

wetsvoorstel of overheids 
ICT-systeem verwerkte 
persoonsgegevens na te 
gaan? 

In hoofdstuk 2 van de WMO 2015 is planvorming, 
regelgeving en evaluatie op gemeentelijk niveau 
vastgelegd. 
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7 

Zullen de 

verzamelde/verwerkte 
persoonsgegevens gebruikt 
worden om het gedrag, de 
aanwezigheid of de 
prestaties van mensen in 
kaart te brengen en/ofte 
beoordelen en/ofte 
voorspellen? Zijn de 
betrokkenen daarvan op de 
hoogte? 

Zijn de gegevens die 
hiervoor worden gebruikt, 
afkomstig uit verschillende 
(eventueel externe) 
bronnen en zijn zij 
oorspronkelijk voor andere 

doelen verzameld? 

In beginsel niet maar de aanpak van fraude en 
oneigenlijk gebruik moet nog nader worden 
uitgewerkt. Mogelijk moet de vraag dus te zijner 
tijd met ja worden beantwoord. 

Het risico bestaat dat betrokkene onterecht in 
aanmerkelijke mate wordt getroffen door 
besluiten genomen op grond van gegevens vanuit 
verschillende aanbieders met ieder hun eigen 

context. 

Het risico bestaat dat meer gegevens worden 
verwerkt dan nodig voor het doel. 

Het risico bestaat dat persoonsgegevens verder 
worden verwerkt op een wijze die niet verenigbaar 
is met de doeleinden waarvoor ze zijn verkregen. 

Het verdient aanbeveling de doelbinding op het punt 
van bestrijding van fraude en oneigenlijk gebruik in de 
gemeentelijke verordening uitgebreid uit te werken. 


VERTROUWELIJK 
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8 

Wordt bij deze 
analyse/beoordeling/voors 
peiling gebruik gemaakt van 
vergelijking van 
persoonsgegevens die 
technisch geautomatiseerd 
is (d.w.z. niet door mensen 
zelf wordt uitgevoerd)? 

Zo ja, hoe wordt geregeld 
dat, indien dit 
geautomatiseerde proces 
tot een beoordeling of 
voorspelling over een 
bepaalde persoon leidt, 
hierop pas concrete actie 
wordt ondernomen na 

tussenkomst en (tweede) 
controle van (menselijk) 
personeel? 

Dit kan nu nog niet worden beoordeeld. Zie 7 
hiervoor. 

Het risico bestaat dat betrokkene onterecht in 
aanmerkelijke mate wordt getroffen door 
besluiten die geautomatiseerd genomen worden 
zonder menselijke tussenkomst. 

Het gevaar van profiling ligt bij de WMO-processen niet 
voor de hand. Zie ook 1.4 met betrekking tot 
gepseudonimiseerde gegevens. 
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III 


Betrokken instanties/systemen en verantwoordelijkheid 


VERTROUWELIJK 
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1 

Welke interne en externe 
instantie(s) en/of systemen 
is/zijn betrokken bij de 
voorziene verwerking in elk 

van de onder 1.5 

onderscheiden fasen? 

Welke verstrekkers zijn er 
en welke 

ontvangers? Welke 
bestanden of 

deelbestanden en welke 

infrastructuren? 

De leverancier van het startbericht in de 
gegevensuitwisseling Trekkingsrechten" is de 
gemeente die het pgb heeft toegekend. Vervolgens 
worden er deelbestanden in het kader van het 
beheer van het pgb verwerkt. 

Het risico bestaat dat beperkte transparantie over 
ontvangers en verstrekkers van gegevens, alsmede 
gebruikte infrastructuren en deelbestanden leidt 
tot minder zekerheid omtrent de betrouwbaarheid 

van gegevens. 

De betrokkene verliest na eenmalige verstrekking 
de grip op zijn persoonsgegevens, ook omdat 
sprake is van meerdere (voor de betrokkene niet- 
transparante) gegevensbronnen. Hierdoor ontstaat 
het risico dat de betrokkene gevolgen ondervindt 
van onjuist genomen beslissingen, bijvoorbeeld 
omdat deze zijn gebaseerd op verouderde of 
onjuiste gegevens. 

De informatievoorziening richting cliënt in 2015 moet 
nog worden uitgewerkt. Gezien de doelgroep vergt dit 
een inspanning om zo duidelijk mogelijk te 
communiceren over het trekkingsrechtensysteem en de 
acties die daarbij van de cliënt worden verwacht. 
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2 

Is (in ieder stadium) 
duidelijk wie 

verantwoordelijk is voor de 
verwerking van de 
persoonsgegevens? Zo ja, is 
deze persoon of organisatie 
daarop voldoende 
voorbereid en geëquipeerd 
wat betreft de nodige 
voorzieningen en 
maatregelen, waaronder 
middelen, beleid, 
taakverdeling, procedures 
en intern toezicht? 

Ja, de voorbereiding van de uitvoering door de SVB 
vindt in 2014 gefaseerd plaats via pilots cf. de 
aangepaste Regeling subsidies AWBZ. De fasering 
is erop gericht in 2015 het gehele systeem 
operationeel te hebben. De SVB bereidt de 
technische voorbereiding van de trekkingrechten 
vanuit de WMO 2015 parallel aan die van de WLZ 
voor. Dit heeft echter nog geen formele grondslag. 

Het risico bestaat dat de SVB onvoldoende 
voorbereid en geëquipeerd is wat betreft de 
nodige voorzieningen en maatregelen en dat als 
gevolg daarvan de gegevensverwerking 
onrechtmatig is en/of dat betrokkenen gevolgen 
ondervinden van onterechte beslissingen. 

De Sociale Verzekeringsbank is in het 
trekkingsrechtensysteem de verantwoordelijke in de zin 
van de Wet bescherming persoonsgegevens voor de 
verwerking van persoonsgegevens van WMO-cliënten. 


VERTROUWELIJK 
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3 

Wie binnen uw organisatie, 
en elk van de andere 

betrokken organisaties, 
krijgen precies toegang tot 
de persoonsgegevens? 
Bestaat de kans dat bij het 
gebruik ervan de gegevens 
ter beschikking komen van 
onbevoegden? 

Deze vraag is in het wetsvoorstel niet beantwoord. 

Het niet opnemen van dit element vormt een risico 
voor de rechtmatigheid van de verwerking. 

Het verdient aanbeveling dat de gemeentelijke FG's in 
2014 zorgdragen voor een beschrijving van de beoogde 
beveiliging van het trekkingsrechtensysteem in 2015 en 
dat zij zich vergewissen van tijdige realisatie van de 
beoogde beveiliging. 
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4 

Geldt voor een of meer van 

de betrokken instanties een 
beperking van de 
mogelijkheid om 
persoonsgegevens te 
verwerken als gevolg van 
geheimhoudingsverplichtin 
gen (in verband met 
functie/wet)? 

In de zorgsector geldt een uitgebreid web van 
geheimhoudingsverplichtingen. Voor de 
onderhavige uitwisselingsrelatie is van belang dat 
medische gegevens niet worden uitgewisseld (vgl. 
art. 2.6.2 WMO 2015). 

Het risico is hier dat niet volledig duidelijk is waar 
de grens moet worden getrokken op grond van art. 
2.6.2 WMO 2015 

Het verdient aanbeveling nauwkeurig er vast te leggen 
welke gegevens de gemeente via de Stichting 

Inlichtingen Bureau overdraagt aan de SVB ten behoeve 
van het trekkingsrechtensysteem. 
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5 

Zijn alle stappen van de 
verwerking in de zin van 
soorten gegevens en 
uitwisselingen, in kaart 
gebracht ofte brengen, 
zodanig dat daardoor voor 
de betrokkenen inzichtelijk 
is bij wie, waarom en hoe 
de persoonsgegevens 

worden verwerkt? 

Ja, in het Plan van Aanpak Invoering 
Trekkingsrechten systeem PGB (Voor AWBZ, Wmo 
en Jeugdwet) van de SVB in opdracht van het 
Ministerie van VWS. Dit is echter een intern 
document, dus voor betrokkenen is niet inzichtelijk 
bij wie, waarom en hoe de persoonsgegevens 
worden verwerkt. 

Wanneer dit niet duidelijk in kaart is gebracht, 
wordt het voor de verantwoordelijke een lastigere 
opgave om in control te zijn en zal hij moeite 
hebben om de informatieplicht goed te vervullen. 

Zie 4. hiervoor. 


VERTROUWELIJK 
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6 

Zijn er beleid en procedures 
voorzien voor het creëren 

en bijhouden van een 
verzameling van de 
persoonsgegevens die u 
wilt gaan gebruiken? 

Zo ja, hoe vaak en door wie 
zal de verwerking worden 
gecontroleerd? 

Omvat de verzameling een 
verwerking die namens u 
wordt uitgevoerd 
(bijvoorbeeld door een 
onderaannemer)? 

Dit blijkt niet uit dit wetsvoorstel. Voor een 
beschrijving van de huidige situatie zie de 
rechterkolom. 


Uitwisseling van gegevens mag alleen geschieden als dat 
wettelijk is geregeld, als dat noodzakelijk is voor de 
uitoefening van een publiekrechtelijke taak of als de 
betrokkene toestemming heeft gegeven. De naleving 
van de privacyregels is geïntegreerd in het 
informatiebeveiligingsbeleid van de SVB en de 
bijbehorende organisatie. Daarmee is ook de controle 
op die naleving verankerd. (SVB Jaarverslag 2012). Voor 
de beoogde situatie in 2015 zijn er echter nog 
onzekerheden. Zie IV.1 hierna. 
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7 

Is er sprake van overdracht 

van persoonsgegevens naar 
een (overheids) instantie 
buiten de EU/EER? Heeft dit 
land een niveau van 

gegevensbescherming dat 
als passend is beoordeeld 
door een besluit van de 
Europese Commissie of de 
Minister van Veiligheid en 
Justitie? Worden daarbij 
alle of een gedeelte van de 
persoonsgegevens 

doorgegeven? 

Nee. 
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IV 


Beveiliging en bewaring/vernietiging 


VERTROUWELIJK 
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1 

Is het beleid met betrekking 
tot gegevensbeveiliging 
binnen uw organisatie op 
orde? Zo ja, wie/welke 
afdeling(en) is/zijn binnen 
de organisatie 
verantwoordelijk voor het 
opstellen, implementeren 

en handhaven hiervan? Is 
dit beleid specifiek gericht 
op 

gegevensbescherming en 
gegevensbeveiliging ? 

Dit staat niet in het wetsvoorstel, maar hier kan 
wat betreft de SVB wel naar de huidige situatie in 
de rechterkolom gekeken worden. In artikel 2.6.2, 
tweede lid, WMO 2015 is de mogelijkheid van 
invulling via een AMvB voorzien. 

Het niet opnemen van dit element vormt een risico 
voor de rechtmatigheid van de verwerking. 

De SVB ontwikkelt zich steeds verder tot een open 
netwerkorganisatie. De kwetsbaarheid en 
(keten)afhankelijkheid van de SVB neemt daardoor toe, 
in gelijke tred met externe dreigingen, met name op 
gebied van cybercrime. De impact van eventuele 
gevolgen zal daardoor ook groter worden. Om die reden 
is in de tweede helft van 2012 een herijking gestart van 
het informatiebeveiligingsbeleid van de SVB. (SVB 
jaarverslag 2012). Voor informatiebeveiling volgt de SVB 
de ISO 27001 norm volgens de roadmap invoering SVB 
Trekkingsrechtensysteem per 1-1-2014 versie 3.0. Zie 
echter ook III.3. 

33 

2 

Indien (een deel van) de 
verwerking bij een 
bewerker plaatsvindt, hoe 
draagt u zorg voor de 
gegevensbeveiliging, en het 
toezicht daarop, bij die 

bewerker? 

Niet van toepassing. 

Artikel 4.1.4 lid 2 WMO 2015 wijst de SVB als 
verantwoordelijke voor de verwerking van 
persoonsgegegevens ten behoeve van het 
verrichten van betalingen en budgetbeheer aan. 
SVB is dus geen bewerker, maar een 
verantwoordelijke in de zin van de Wbp. 




VERTROUWELIJK 
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3 

Welke technische en 
organisatorische 
beveiligingsmaatregelen 
zijn getroffen ter 
voorkoming van niet- 
geautoriseerde of 
onrechtmatige 
verwerking/misbruik van (a) 
gegevens die in een 
geautomatiseerd format 
staan (bv. wachtwoord- 
bescherming, versleuteling, 
encryptie) en (b) gegevens 
die handmatig zijn 
opgetekend bv. sloten op 
kasten)? 

Is er een hoger 
beschermingsniveau om 
gevoelige 

persoonsgegevens te 
beveiligen? 

De SVB heeft in beginsel een state of the art 
beschermingsniveau maar in het wetsvoorstel 
wordt aan dit onderwerp geen aandacht besteed. 
Overigens kunnen op grond van artikel 4.2.7 
tweede lid WMO 2015 bij AMvB beveiligingseisen 
gesteld worden aan de verwerking van 
persoonsgegevens. 

Het niet opnemen van dit element vormt een risico 
voor de rechtmatigheid van de verwerking en voor 
de beveiliging van de gegevens. 

Een passend beveiligingsniveau gelet op de risico's 
die de verwerking en de aard van te beschermen 
gegevens met zich meebrengen is vereist op basis 
van artikel 13 Wbp. De maatregelen zijn er mede 
op gericht onnodige verzameling en verdere 
verwerking van persoonsgegevens te voorkomen. 

Ontbreken de maatregelen of zijn deze niet goed 
ingeregeld dat worden de risico's op een niet 
passend beveiligingsniveau groter, evenals de 
risico's op onnodige verzameling en verdere 
verwerking van persoonsgegevens. 

Zie IV.1. 


VERTROUWELIJK 
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4 

Welke procedures bestaan 
er in geval van inbreuken 

op 

beveiligingsvoorschriften, 

en voor 

het detecteren ervan? Is er 

een calamiteitenplan om 
het gevolg van een 
onvoorziene gebeurtenis 
waarbij persoonsgegevens 
worden blootgesteld aan 
onrechtmatige verwerking 
of verlies van 
persoonsgegevens af te 
handelen? 

Dit wordt niet expliciet vermeld in het 
wetsvoorstel. Uiteraard zijn algemeen geldende 
voorschriften zoals de meldplicht datalekken van 
toepassing. 

In het geval van een datalek of een andersoortige 
inbreuk op de beveiliging is op basis van de wet 
onvoldoende duidelijk wie waar verantwoordelijk 
voor is. 

Zie IV.1 
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5 

Hoe lang worden de 

persoonsgegevens 

bewaard? Geldt dezelfde 
bewaartermijn voor elk van 
de typen van verzamelde 
persoonsgegevens? Is het 
project onderworpen aan 
enige wettelijke/sectorale 
eisen met betrekking tot 
bewaring? 

In de WMO 2015 gelden bewaartermijnen cf. art. 
4.3.4, eerste lid, en 4.3.5. 
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6 

Op welke beleidsmatige en 
technische gronden is deze 
termijn van bewaring 
vereist? 

Zie IV.5 




VERTROUWELIJK 
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7 

Welke maatregelen zijn 
voorzien om de 

persoonsgegevens na 
afloop van de 
bewaartermijn te 
vernietigen? Worden alle 
persoonsgegevens, inclusief 
log-gegevens, vernietigd? Is 
er controle op de 
vernietiging, en door wie? 

Zie IV.5 
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V 


Transparantie en rechten van betrokkenen 

40 


1 

Is het doel van het 
verwerken van de gegevens 
bij de betrokkenen bekend 
of kan het bekend gemaakt 
worden? Wat is de 
procedure om betrokkenen 
indien nodig te informeren 
over het doel van de 

verwerking van hun 
persoonsgegevens? 

Het doel is bekend op basis van de wet en de 
communicatie over de gewijzigde wetgeving door 
de gemeenten en de SVB. 
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2 

Indien u de 

persoonsgegevens direct 

van de betrokkenen 
verkrijgt, hoe stelt u hen 

van uw identiteit en het 
doel van de verwerking op 
de hoogte vóór het 
moment van verwerking? 

De SVB verkrijgt de persoonsgegevens niet direct 
van de cliënt. 

Het risico bestaat dat de cliënt niet in staat wordt 
gesteld zijn rechten goed uit te kunnen oefenen. 

De voorbereiding bij de gemeenten zal nog de nodige 
tijd vergen. Eerst vanaf 1 januari 2015 worden alle pgb's 
van de WMO 2015 overgemaakt aan de SVB. 


VERTROUWELIJK 
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3 

Indien u de 

persoonsgegevens via een 

andere 

(overheids)organisatie 
verkrijgt, hoe zullen de 
betrokkenen van uw 

identiteit en het doel van 
de verwerking op de hoogte 
worden gesteld op het 
moment van verwerking? 

De toekenningsbeschikking wordt tegelijk aan de 
cliënt en de SVB toegestuurd. 
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4 

Indien u toestemming tot 
verwerking van 
persoonsgegevens aan de 
betrokkene vraagt 
(opt-in), kan de betrokkene 
deze toestemming dan op 
een later tijdstip weer 
intrekken (opt-out)? Bij een 
weigering toestemming te 
geven, of bij een dergelijke 
intrekking, wat is dan de 
implicatie voor de 
betrokkene? 

Zie de bepaling in art. 4.3.5, eerste lid WMO 2015. 




VERTROUWELIJK 
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5 

Via welke procedure 
hebben betrokkenen de 

mogelijkheid zich tot de 
verantwoordelijke te 
wenden met het verzoek 

hen mede te delen of hun 
persoonsgegevens worden 
verwerkt? 

Hoe worden derden, die 
mogelijk bedenkingen 
hebben tegen een 
dergelijke mededeling, in 
de gelegenheid gesteld hun 
zienswijze te geven? 

Zie de bepaling in art. 4.3.2 WMO 2015. 
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6 

Hoe kan een verzoek van 

een betrokkene tot 
verbetering, aanvulling, 
verwijdering of 
afscherming van 
persoonsgegevens in 
behandeling worden 
genomen? 

Zie de bepaling in art. 4.3.2, zesde lid WMO 2015. 




VERTROUWELIJK 











